Active Directory : transfert des rôles FSMO avec NTDSUTIL
Sommaire
I. Présentation
Ce tutoriel vous explique comment transférer les rôles FSMO d'un contrôleur de domaine vers un autre. On peut transférer un seul rôle ou plusieurs (maximum 5). Nous procéderons avec l'utilitaire ntdsutil.exe.
Dans cet exemple, nous avons un premier serveur appelé "srv1" et un second serveur appelé "srv2". Le premier serveur est le maître d'opération pour tous les rôles FSMO, nous voulons que le second serveur le devienne pour les 5 rôles, nous allons donc les transférer. L'ensemble de ce qui est réalisé dans le cadre de ce tutoriel se fait sur le premier serveur, c'est-à-dire celui qui détient actuellement les rôles FSMO.
II. Comment exécuter NTDSUTIL ?
Pour accéder à l'outil NTDSUTIL sur un contrôleur de domaine Active Directory, il suffit d'appeler "ntdsutil.exe" depuis une invite "Exécuter" ou de lancer l'outil à partir d'une Invite de commande ou une console PowerShell. C'est un outil qui s'utilise en mode interactif.
ntdsutil.exePour obtenir de l'aide quant à l'utilisation de ntdsutil, il suffit de saisir "?" et vous verrez les commandes disponibles. Toujours utile en cas d'oubli.
III. Procédure pour transférer les rôles FSMO
A. Activer le mode maintenance FSMO
La première étape consiste à activer le mode maintenant FSMO. Pour passer en mode "fsmo maintenance" il faut saisir la commande suivante :
role
Ensuite, pour voir les commandes disponibles, c'est le même principe que celui évoqué précédemment, il suffit de saisir un "?" pour afficher les commandes disponibles.
B. Connexion au second serveur
Il faut établir une connexion avec le serveur sur lequel on veut transférer un ou des rôles. Pour cela, dans le mode « fsmo maintenance », tapez la commande :
connections
Vous êtes désormais en mode « server connections ». Pour établir la connexion avec le serveur, tapez la commande suivant en remplaçant par le nom du serveur :
connect to server <nom_serveur>
connect to server srv2
Patientez le temps que la connexion soit établie.
Quand c'est fait, vous pouvez quitter le mode connexion pour revenir au mode précédent. Tapez simplement ceci :
qVous voilà de retour en mode fsmo maintenance.
C. Transférer les rôles FSMO
Désormais, nous allons voir comment transférer les différents rôles FSMO, un par un.
- Transférer le rôle de Maître RID
transfer RID master
Une boite de dialogue apparaît pour que vous confirmiez vouloir transférer le rôle sur le serveur avec lequel vous avez établie une connexion. Elle apparaîtra pour le transfert de chacun des rôles.
- Transfert du rôle de contrôleur de schéma
Pour cela, saisissez cette commande afin de transférer le rôle :
transfer schema master
- Transfert du rôle de Maître d'infrastructure
Sur le même principe que la commande précédente, saisissez celle-ci :
transfer infrastructure master
- Transfert du rôle de Maître d'attribution des noms de domaine
transfer domain naming master
Si la commande ci-dessus ne fonctionne pas, utilisez celle-ci :
transfer naming master
- Transfert du rôle d’Émulateur PDC
transfer pdc
Remarque : À chaque fois que vous transférez un rôle, NTDSUTIL écrit le résumé sur l'appartenance des rôles, vous pouvez donc vérifier si le rôle a bien été transféré.
D. Fin de l'opération
Voilà, l'opération est terminée ! Pour quitter correctement le programme ntdsutil, saisissez "q" dans le mode fsmo maintenance et quand vous êtes sur l'invite de commande ntdsutil.
Enfin, vous pouvez vérifier si les rôles sont bien transférés grâce à la commande suivante (adaptez en indiquant le nom de votre domaine) :
NETDOM QUERY /Domain:<votre-domaine> FSMO
Par exemple :
IV. Conclusion
Voilà, vous êtes désormais capable de transférer les rôles FSMO à l'aide de l'outil ntdsutil ! Ceci permet de se passer de l'interface graphique de Windows Server. Sachez qu'il est également possible d'effectuer cette opération avec PowerShell, via la commande "Move-ADDirectoryServerOperationMasterRole".
Bonjour,
Je suis un jeune ingénieur sortant de l’école, je réalise beaucoup de migration AD. Les articles ici sont simples et efficaces.
Très bon travail 🙂
Bonjour,
J’ai deux Controleur de domaine ( un primaire sr un serveur physique et l’autre secondaire sur un hyper-v)
Je voudrais changer le serveur physique qui contient DC1(dns dhcp et AD) et NPS
quelqu’un peut il m’aider en me donnant des idées ?
J’ai un thème de recherche thème :Démontrer a partir de l’outil NTDSUTIL comment on peut récupérer un rôle de maître d’opération sur un serveur Windows 2016 s’il vous plaît quelqu’un peut m’aider ici
Bonjour,
est-ce que vous pouvez m’aider ?
j’ai deux serveur mon premier srv1 il est contrôleur de domaine AD DS et DNS et je veux le migrer sur mon deuxième srv2. j’ai ajouter les rôles AD DS sur le srv2 et par la suite j’ai migré les fsmo. à la toute fin je confirme avec la commande netdom query fsmo et tout est ok les rôles sont bien transfèrer sur le nouveau serveur srv2. Ensuite je ne veux pas dépromouvoir le srv1 pour le moment mais je veux que mes clients windows10 se logue sur le nouveau srv2. je change le dns dans chacune de mes clients pour qu’il pointe sur le nouveau serveur, je rédémarre la machine et je fais la commande set pour voir mon logonserver et il ne change pas il est toujours pointé sur l’ancien serveur. avez
Avez-vous une solution ?
Désolé j’ai oublier de vous dire que le serveur 1 est sous windows server 2012r2 et que le deuxième serveur est sur server 2012rs aussi.
merci
Bonjour,
Peux-t-on utiliser NTDSUTIL pour transférer les rôles FSMO d’un 2012 R2 vers un Samba 4 ?
Merci pour votre réponse.
Cordialement
B.Herren